آلوده کردن رایانه‌ها به بدافزار با سرویس بروزرسانی ویندوز وسط هکرهای کره‌شمالی

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir north korean hackers using windows update service
اینطور که مشاهده شده است، مهاجمان بدنام Lazarus Group در حال راه‌اندازی کمپین جدیدی هستند که از سرویس Windows Update برای اجرای payload مخرب خود استفاده می‌کند، و زیرساخت‌های تکنیک‌های living-off-the-land (LotL) را که توسط گروه APT برای پیشبرد اهدافشان استفاده می‌شود، گسترش می‌دهند.

گروه لازاروس که با نام‌های APT38، Hidden Cobra، Whois Hacking Team و Zinc نیز شناخته می‌شود، نامی است که به گروه هک دولت-ملت مستقر در کره شمالی اختصاص داده شده است که حداقل از سال ۲۰۰۹ فعال بوده است. سال گذشته این عامل تهدید به یک کمپین پیچیده مهندسی اجتماعی که محققان امنیت را هدف قرار می‌دهد، مرتبط بوده است.

آخرین حملات فیشینگ spear که Malwarebytes در ۱۸ ژانویه شناسایی کرد، از اسناد تسلیحاتی با فریب‌هایی در زمینه جایگاه‌های شغلی سرچشمه می‌گیرد که کارشان جعل هویت شرکت آمریکایی امنیت جهانی، هوافضا و تسلیحاتی Lockheed Martin است.

باز کردن فایل فریبنده و جعلی مایکروسافت Word، اجرای یک ماکرو مخرب تعبیه شده در داکیومنت را آغاز می‌کند که به نوبه خود، یک shell کد رمزگشایی شده با Base64 را برای تزریق تعدادی از اجزای بدافزار به فرآیند "explorer.exe" اجرا می‌کند.

در مرحله بعدی، یکی از باینری‌های بارگذاری شده، "drops_lnk.dll" از Windows Update Client ("wuauclt.exe") استفاده می‌کند (که به عنوان یک تکنیک فرار دفاعی برای ترکیب کردن فعالیت‌های مخرب با نرم‌افزار‌های قانونی ویندوز استفاده می‌شود) دستوری را اجرا می‌نماید که ماژول دومی به نام "wuaueng.dll" را بارگذاری می‌کند.
takian.ir north korean hackers using windows update service 1
محققین آنکور ساینی و حسین جازی خاطرنشان کردند: "این تکنیک جالبیست، چرا که توسط Lazarus برای اجرای DLL مخرب خود با استفاده از Windows Update Client برای دور زدن مکانیسم‌های شناسایی امنیتی استفاده می‌شود. با این روش، عامل تهدید می‌تواند کد مخرب خود را از طریق Microsoft Windows Update Client اجرا نماید".

این شرکت امنیت سایبری "wuaueng.dll" را به عنوان "یکی از مهم‌ترین DLL‌ها در زنجیره حمله" توصیف کرد، که هدف اصلی آن برقراری ارتباط با یک سرور command-and-control (C2) است که در واقع یک ریپوزیتوری GitHub که میزبان ماژول‌های مخرب است، در قالب فایل‌های تصویری PNG نمایش داده می‌شوند. گفته می‌شود حساب GitHub در ۱۷ ژانویه ۲۰۲۲ ایجاد شده است.

مجموعه Malwarebytes گفت که لینک‌ها به Lazarus Group مبتنی بر چند مورد از شواهد مختلف است که آن‌ها را به حملات گذشته توسط یک عامل مرتبط می‌کند. از جمله آن‌ها می‌توان به همپوشانی‌های زیرساخت، ابرداده داکیومنتها و استفاده از الگوی فرصت‌های شغلی برای شناسایی قربانیان اشاره کرد.

محققان نتیجه گرفته‌اند: «Lazarus APT یکی از گروه‌های APT پیشرفته است که صنعت دفاعی را هدف قرار می‌دهد. این گروه به بروزرسانی مجموعه ابزار خود برای فرار از مکانیسم‌های امنیتی ادامه می‌دهد. حتی با وجود اینکه آن‌ها از روش قدیمی موضوعات شغلی مدنظر خود بهره می‌گیرند، از چندین تکنیک جدید برای دور زدن تشخیص‌ها و شناسایی‌کننده‌ها استفاده می‌نمایند».

برچسب ها: Lazarus APT, wuaueng.dll, wuauclt.exe, Windows Update Client, explorer.exe, Lockheed Martin, Whois Hacking Team, Zinc, LotL, living-off-the-land, APT38, Microsoft Windows, Microsoft Word, Lazarus, Word, Malwarebytes, DLL, APT, Windows update, cybersecurity, حملات فیشینگ, Github, Lazarus Group, Hidden Cobra, مایکروسافت, فیشینگ, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ